CN111274699A - 一种基于smartIflow的AADL模型的安全性分析方法 - Google Patents
一种基于smartIflow的AADL模型的安全性分析方法 Download PDFInfo
- Publication number
- CN111274699A CN111274699A CN202010062226.XA CN202010062226A CN111274699A CN 111274699 A CN111274699 A CN 111274699A CN 202010062226 A CN202010062226 A CN 202010062226A CN 111274699 A CN111274699 A CN 111274699A
- Authority
- CN
- China
- Prior art keywords
- model
- error
- behavior
- component
- smartiflow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本申请公开了一种基于smartIflow的AADL模型的安全性分析方法,通过根据系统需求和设计文档,采用AADL建立系统架构模型、错误模型和行为模型;组合系统中构件的错误模型和行为模型为构件模型,表示构件发生故障时构件行为的变化;将各构件模型转换为smartIflow模型,用以分析系统的安全性;根据系统需求和设计文档,描述所述系统需要满足的安全性属性,将smartIflow模型和安全性属性描述输入到smartIflow安全性分析平台,验证系统的安全性属性,得到系统的安全性分析结果。能够对构件的故障行为描述更全面、系统的安全性分析结果更准确,有利于根据系统的安全性分析结果改进系统的设计。
Description
技术领域
本发明属于计算机软件技术领域,特别涉及一种基于smartIflow的AADL模型的安全性分析方法。
背景技术
在航空航天、交通运输等安全关键系统领域,为了防止发生人身伤亡、财产损失、环境破坏等情况,需要对系统的安全性进行分析。目前,基于模型的安全性分析具有与系统设计相融合、安全性分析效率高等优点,是安全性分析领域的研究热点。
AADL(Architecture Analysis&Design Language,架构分析与设计语言)是针对安全关键系统领域的体系结构建模语言,对系统的关键属性有较强的描述能力,同时提供错误附件和行为附件分别用来描述系统的故障情况和运行行为,可以较全面地建模安全性的影响因素。为了更紧密地融合安全性分析过程与系统设计过程,很多研究将AADL与基于模型的安全性分析技术相结合来分析安全关键系统的安全性。
如图1所示为AADL与基于模型的安全性分析技术相结合分析安全性的流程。首先,设计人员通过系统需求和设计说明建立AADL模型,同时建立系统要满足的安全性属性。然后将AADL模型转换到现有安全性分析模型,最后以安全性分析模型和安全性属性为输入,采用FTA(Fault Tree Analysis,故障树分析)、FMEA(Failure Modes Effects Analysis,失效模式与影响分析)、模型检测、模拟等方法进行安全性分析,得到安全性分析结果。
但是,根据构件的接口语义,安全性分析技术分为FLM(Failure Logic Modeling,失效逻辑建模)和FEM(Failure Effect Modeling,失效影响建模)。在FLM中,由于每个系统构件包括一组构件故障描述,显式地描述了安全系统故障的注入和传播。FEM通过抽象的流(信息流、物质流、能源流等)对安全系统的正确行为进行建模,通过故障注入的方式描述了安全系统发生故障时安全系统行为的变化。
AADL模型中多采用AADL提供的错误附件(Error Model Annex v2,EMV2)描述系统故障情况,错误附件显式地描述故障的注入和传播(FLM),而不是在存在故障的情况下分析系统行为变化导致的故障传播(FEM)。一些扩展AADL支持FEM的研究对系统的正常行为的描述粒度较大,不够充分,导致行为描述不准确、安全性属性难以得到分析和验证。
AADL提供的行为附件提供了描述粒度较细的安全系统正常行为描述,可以用来表示FEM所需的正常行为,同时可以采用AADL错误附件在系统构件内部注入故障并描述这些故障的传播。
因此,在结合AADL和安全性分析技术之前,为了建模FEM,需要将AADL错误模型和行为模型相结合,以表示AADL错误模型中的故障是如何影响AADL行为模型中的行为变化的。
发明内容
有鉴于此,本申请实施例提供一种基于smartIflow的AADL模型的安全性分析方法,对系统构件的行为描述更全面、系统的安全性分析结果更准确,有利于根据系统的安全性分析结果改进系统的设计。
根据本公开的一方面,提供了一种基于smartIflow的AADL模型的安全性分析方法,所述方法包括:
S1:根据系统需求和设计文档,采用AADL建立所述系统的架构模型、错误模型和行为模型;其中,将所述AADL架构模型、错误模型和行为模型组合在一起,得到带有系统构件错误信息和行为信息的AADL安全性模型;
S2:组合所述系统中构件的错误模型和行为模型为所述构件模型,表示构件发生故障时构件行为的变化;
S3:将所述构件模型转换为smartIflow模型,用以分析系统的安全性;
S4:根据系统需求和设计文档,描述所述系统需要满足的安全性属性,将所述smartIflow模型和安全性属性描述输入到smartIflow安全性分析平台,验证所述系统的安全性属性,得到所述系统的安全性分析结果。
在一种可能的实现方式中,所述组合所述系统构件的错误模型和行为模型为构件模型,组合方法包括:
组合所述错误模型的错误状态和行为模型中的状态;
关联所述错误模型中的错误事件或传入错误与所述行为模型中的状态转换行为条件;
根据所述错误事件和所述传入错误触发的所述错误模型的状态转换,将所述错误模型的状态转换表示所述行为模型中的状态转换,将所述错误模型中的传出错误表示为所述行为模型中的状态转换时的动作;
在所述构件模型中保留所述错误模型的错误事件属性描述。
在一种可能的实现方式中,所述将所述AADL安全性模型转换为smartIflow模型,包括:
将所述AADL安全性模型的每个系统构件转换为smartIflow中的类,将所述每个系统构件的数据子构件转换为smartIflow中的类的变量variable,其他类型子构件转换为smartIflow类中的Components部分,将所述AADL架构模型的每个系统构件的端口表示为smartIflow中的类中的端口Ports;
将所述构件模型中的状态和变量转换为smartIflow中的类的变量variable;
将所述AADL架构模型的每个系统构件之间的连接关系转换为smartIflow中的行为behavior;
将所述错误模型的错误事件转换为smartIflow类中的事件events;
将所述构件模型中的正常状态之间的转换表示为smartIflow中的转换Transitions;
将所述构件模型中的错误状态之间的转换表示为smartIflow中的事件触发条件EventHandler。
在一种可能的实现方式中,所述组合所述错误模型的错误状态和行为模型中的状态,包括:
将所述错误模型中的表示构件行为正常的状态与所述行为模型中的状态相映射;
将所述错误模型中的构件错误状态添加到所述行为模型中。
在一种可能的实现方式中,所述关联所述错误模型中的错误事件或传入错误与所述行为模型中的状态转换行为条件,包括:
若所述错误事件或传入错误与行为模型中的状态转换触发器相关,将所述错误事件或传入错误表示为所述行为模型中的状态转换触发器,显式对应行为模型中的行为,表示所述行为模型中从正常状态到新添加的错误状态的转换条件;
若所述错误事件或传入错误与行为模型中的状态转换触发器无关或相关不明显,将所述错误事件作为所述行为模型中从正常状态到新添加的错误状态的转换条件,不显式对应行为模型中的行为。
通过根据系统需求和设计文档,采用AADL建立系统的架构模型、错误模型和行为模型;组合构件的错误模型和行为模型为构件模型,表示构件发生故障时构件行为的变化;将构件模型转换为smartIflow模型,用以分析系统构件的安全性;根据系统需求和设计文档,描述所述系统需要满足的安全性属性,将smartIflow模型和安全性属性描述输入到smartIflow安全性分析平台,验证系统的安全性属性,得到系统的安全性分析结果。能够对系统中构件的行为描述更全面、系统的安全性分析结果更准确,有利于根据系统的安全性分析结果改进系统的设计。
附图说明
图1示出了现有技术中基于AADL模型的安全性分析方法的流程图;
图2示出了根据本申请一实施例的基于smartIflow的AADL模型的安全性分析方法的流程图;
图3示出了根据本申请一实施例的步骤S2的一个示例的流程图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请实施例作进一步详细的说明。
在AADL模型转换方面,为了降低模型转换前后的语义差别,提高安全性分析的准确性,选择合适的AADL子集和目标模型至关重要。
目前,像Altarica、SAML、smartIflow等能够同时支持FLM和FEM,可以充分的建模安全系统故障情况,得到准确的安全性分析结果。
smartIflow具有:抽象层次适中,可以通过模型检测等方法分析安全性需求,且计算量不会过大;支持双向连接建模,更加接近现实(如描述AADL中软件构件与硬件构件之间的相互影响);能够扩展设计模型,更容易与AADL相结合;FLM/FEM混合,安全系统故障情况描述更完整;其语义与AADL相近,易转换,其模型检测工具可以生成多个反例。因此,本发明选择smartIflow做为AADL的目标模型。
图2示出了根据本申请一实施例的基于smartIflow的AADL模型的安全性分析方法的流程图。如图2所述,所述安全性分析方法包括:
S1:根据系统需求和设计文档,采用AADL建立所述系统架构模型、错误模型和行为模型;其中,将所述AADL架构模型、错误模型和行为模型组合在一起,得到带有系统构件错误信息和行为信息的AADL安全性模型。其中,AADL安全性模型是一种层次化的模型。
S2:组合所述系统中构件的错误模型和行为模型为所述构件模型,表示构件发生故障时所述构件行为的变化。
图3示出了根据本申请一实施例的步骤S2的一个示例的流程图。如图3所示,对于每个构件来说,组合所述系统中构件的错误模型和行为模型为构件模型的组合方法包括:
S21:组合所述错误模型的错误状态和行为模型中的状态。
在一实例中,将所述错误模型中的表示构件行为正常的状态与所述行为模型中的状态相映射,其中,行为模型中的状态可以包括初始、完整、最终以及它们的组合状态;将所述错误模型中的构件错误状态添加到所述行为模型中。
S22:关联所述错误模型的错误事件或传入错误与所述行为模型中的状态转换行为条件。
在一实例中,若所述错误事件或传入错误与行为模型中的状态转换触发器相关,将所述错误事件或传入错误表示为所述行为模型中的状态转换触发器,显式对应行为模型中的行为,表示所述行为模型中从正常状态到新添加的错误状态的转换条件。
若所述错误事件或传入错误与行为模型中的状态转换触发器无关或相关不明显,将所述错误事件作为所述行为模型中从正常状态到新添加的错误状态的转换条件,不显式对应行为模型中的行为。
S23:根据所述错误事件和所述传入错误触发所述错误模型的状态转换,将所述错误模型的状态转换表示所述行为模型中的状态转换,将所述错误模型中的传出错误表示为所述行为模型中的状态转换时的动作。
在一实例中,对于错误模型中的错误事件和传入错误触发的错误模型的状态转换或者错误传播,将所述错误模型的状态转换表示表示为行为模型中的正常状态到新添加的错误状态的转换,转换的条件为表示传入错误的行为和错误事件(步骤S22)。对于错误模型中的传出错误,将错误状态到错误传出端口的转换表示为行为模型中的错误状态相关联的动作。
S24:在所述构件模型中保留所述错误模型的错误事件属性描述。
S3:将所述构件模型转换为smartIflow模型,分析系统的安全性。
在一实例中,将构件模型转换为smartIflow模型可以包括:
可以将所述AADL安全性模型的每个构件转换为smartIflow中的类,将所述每个构件的数据子构件转换为smartIflow中的类的变量variable,其他类型子构件转换为smartIflow类中的Components部分。将所述AADL架构模型的每个系统构件的端口表示为smartIflow中的类中的端口Ports。
可以将所述构件模型中的状态和变量转换为smartIflow中的类的变量variables,例如将组合后的AADL安全性模型的构件模型中的状态和变量部分转换为smartIflow中的变量variables部分。其中,可以将状态表示为一个变量,取值为AADL安全性模型中的各个状态;可以将变量直接转换为smartIflow的类的变量variable。如果AADL安全性模型中包含AADL模式转换情况,可以将模式转换为一个变量,其取值为AADL安全性模型中的各个模式。
可以将所述AADL架构模型的每个系统构件之间的连接关系转换为smartIflow中的行为behavior;可以将所述错误模型的错误事件转换为smartIflow类中的事件events;可以将所述构件模型中的正常状态之间的转换表示为smartIflow中的转换Transitions;可以将所述构件模型中的错误状态之间的转换表示为smartIflow中的事件触发条件EventHandler,如果AADL安全性模型中涉及模式转换,可以将模式转换过程也转换为EventHandler,其event为模式转换触发器。
S4:根据系统需求和设计文档,描述到所述系统需要满足的安全性属性,将所述smartIflow模型和安全性属性描述输入到smartIflow安全性分析平台,通过平台提供的模型检测器可以验证所述系统的安全性属性,得到所述系统的安全性分析结果。
本公开的基于smartIflow的AADL模型的安全性分析方法,通过根据系统需求和设计文档,采用AADL建立系统架构模型、错误模型和行为模型;组合系统中构件的错误模型和行为模型为构件模型,表示构件发生故障时构件行为的变化;将构件模型转换为smartIflow模型,用以分析系统构件的安全性;根据系统需求和设计文档,计算得到所述系统的安全性属性描述,将smartIflow模型和安全性属性描述输入到smartIflow安全性分析平台,验证系统的安全性属性,得到系统的安全性分析结果。能够对系统中构件的行为描述更全面、系统的安全性分析结果更准确,有利于根据系统的安全性分析结果改进系统的设计。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (5)
1.一种基于smartIflow的AADL模型的安全性分析方法,其特征在于,所述方法包括:
S1:根据系统需求和设计文档,采用AADL建立所述系统的架构模型、错误模型和行为模型;其中,将所述AADL架构模型、错误模型和行为模型组合在一起,得到带有系统构件错误信息和行为信息的AADL安全性模型;
S2:组合所述系统中构件的错误模型和行为模型为所述构件模型,表示构件发生故障时构件行为的变化;
S3:将所述构件模型转换为smartIflow模型,用以分析系统的安全性;
S4:根据系统需求和设计文档,描述所述系统需要满足的安全性属性,将所述smartIflow模型和安全性属性描述输入到smartIflow安全性分析平台,验证所述系统的安全性属性,得到所述系统的安全性分析结果。
2.根据权利要求1所述的安全性分析方法,其特征在于,所述组合所述系统中构件的错误模型和行为模型为构件模型,组合方法包括:
组合所述错误模型的错误状态和行为模型中的状态;
关联所述错误模型中的错误事件或传入错误与所述行为模型中的状态转换行为条件;
根据所述错误事件和所述传入错误触发的所述错误模型的状态转换,将所述错误模型的状态转换表示所述行为模型中的状态转换,将所述错误模型中的传出错误表示为所述行为模型中的状态转换时的动作;
在所述构件模型中保留所述错误模型的错误事件属性描述。
3.根据权利要求1所述的安全性分析方法,其特征在于,所述将所述构件模型转换为smartIflow模型,包括:
将所述AADL安全性模型的每个系统构件转换为smartIflow中的类,将所述每个系统构件的数据子构件转换为smartIflow中的类的变量variable,其他类型子构件转换为smartIflow类中的Components部分,将所述AADL架构模型的每个系统构件的端口表示为smartIflow中的类中的端口Ports;
将所述构件模型中的状态和变量转换为smartIflow中的类的变量variable;
将所述AADL架构模型的每个系统构件之间的连接关系转换为smartIflow中的行为behavior;
将所述错误模型的错误事件转换为smartIflow类中的事件events;
将所述构件模型中的正常状态之间的转换表示为smartIflow中的转换Transitions;
将所述构件模型中的错误状态之间的转换表示为smartIflow中的事件触发条件EventHandler。
4.根据权利要求2所述的安全性分析方法,其特征在于,所述组合所述错误模型的错误状态和行为模型中的状态,包括:
将所述错误模型中的表示构件行为正常的状态与所述行为模型中的状态相映射;
将所述错误模型中的构件错误状态添加到所述行为模型中。
5.根据权利要求2所述的安全性分析方法,其特征在于,所述关联所述错误模型中的错误事件或传入错误与所述行为模型中的状态转换行为条件,包括:
若所述错误事件或传入错误与行为模型中的状态转换触发器相关,将所述错误事件或传入错误表示为所述行为模型中的状态转换触发器,显式对应行为模型中的行为,表示所述行为模型中从正常状态到新添加的错误状态的转换条件;
若所述错误事件或传入错误与行为模型中的状态转换触发器无关或相关不明显,将所述错误事件作为所述行为模型中从正常状态到新添加的错误状态的转换条件,不显式对应行为模型中的行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010062226.XA CN111274699A (zh) | 2020-01-19 | 2020-01-19 | 一种基于smartIflow的AADL模型的安全性分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010062226.XA CN111274699A (zh) | 2020-01-19 | 2020-01-19 | 一种基于smartIflow的AADL模型的安全性分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111274699A true CN111274699A (zh) | 2020-06-12 |
Family
ID=71003408
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010062226.XA Pending CN111274699A (zh) | 2020-01-19 | 2020-01-19 | 一种基于smartIflow的AADL模型的安全性分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111274699A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306476A (zh) * | 2020-11-03 | 2021-02-02 | 中国航空工业集团公司西安航空计算技术研究所 | 一种嵌入式系统安全性建模方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102880548A (zh) * | 2012-09-18 | 2013-01-16 | 西北工业大学 | 一种基于行为描述的aadl可靠性模型生成方法 |
| CN103365774A (zh) * | 2013-08-22 | 2013-10-23 | 北京航空航天大学 | 基于函数调用关系的瞬时错误检测方法 |
| US20140208287A1 (en) * | 2013-01-18 | 2014-07-24 | Harbin Institute Of Technology | Energy Consumption Simulation and Evaluation System for Embedded Device |
| CN110134599A (zh) * | 2019-05-09 | 2019-08-16 | 中国航空工业集团公司西安航空计算技术研究所 | 一种系统体系结构错误行为验证方法及装置 |
-
2020
- 2020-01-19 CN CN202010062226.XA patent/CN111274699A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102880548A (zh) * | 2012-09-18 | 2013-01-16 | 西北工业大学 | 一种基于行为描述的aadl可靠性模型生成方法 |
| US20140208287A1 (en) * | 2013-01-18 | 2014-07-24 | Harbin Institute Of Technology | Energy Consumption Simulation and Evaluation System for Embedded Device |
| CN103365774A (zh) * | 2013-08-22 | 2013-10-23 | 北京航空航天大学 | 基于函数调用关系的瞬时错误检测方法 |
| CN110134599A (zh) * | 2019-05-09 | 2019-08-16 | 中国航空工业集团公司西安航空计算技术研究所 | 一种系统体系结构错误行为验证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| PHILIPP HÖNIG 等: "Model Based Safety Analysis with smartIflow", 《INFORMATION》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306476A (zh) * | 2020-11-03 | 2021-02-02 | 中国航空工业集团公司西安航空计算技术研究所 | 一种嵌入式系统安全性建模方法 |
| CN112306476B (zh) * | 2020-11-03 | 2023-04-14 | 中国航空工业集团公司西安航空计算技术研究所 | 一种嵌入式系统安全性建模方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bozzano et al. | The COMPASS approach: Correctness, modelling and performability of aerospace systems | |
| CN108376221B (zh) | 一种基于aadl模型扩展的软件系统安全性验证与评估方法 | |
| Delange et al. | Architecture fault modeling with the AADL error-model annex | |
| Gargantini et al. | Using model checking to generate tests from requirements specifications | |
| Bozzano et al. | Improving system reliability via model checking: The FSAP/NuSMV-SA safety analysis platform | |
| Hoxha et al. | Towards formal specification visualization for testing and monitoring of cyber-physical systems | |
| Mhenni et al. | Safety analysis integration in a SysML-based complex system design process | |
| Rugina et al. | An architecture-based dependability modeling framework using AADL | |
| Kushal et al. | Architecture level safety analyses for safety-critical systems | |
| Jetley et al. | Applying software engineering practices for development of industrial automation applications | |
| CN111274699A (zh) | 一种基于smartIflow的AADL模型的安全性分析方法 | |
| CN110286902B (zh) | SysML安全性扩展及其到AADL故障模型的自动转换方法 | |
| Lai et al. | Integrating Safety Analysis into Model‐Based Systems Engineering for Aircraft Systems: A Literature Review and Methodology Proposal | |
| US9152385B2 (en) | Systems and methods for generating high-quality formal executable software feature requirements | |
| Elmqvist et al. | Safety-oriented design of component assemblies using safety interfaces | |
| Hovsepyan et al. | Model-driven software development of safety-critical avionics systems: an experience report | |
| Gomes et al. | Systematic model-based safety assessment via probabilistic model checking | |
| Basagiannis | Software certification of airborne cyber-physical systems under DO-178C | |
| Sirgabsou et al. | Investigating the use of a model-based approach to assess automotive embedded software safety | |
| EP3608786B1 (en) | Systems and methods of requirements chaining and applications thereof | |
| US9594860B2 (en) | Analog mixed signal model equivalence checking | |
| Hecht et al. | Creation of failure modes and effects analyses from SysML | |
| Garro et al. | RAMSAS4Modelica: a Simulation-driven Method for System Dependability Analysis centered on the Modelica language and related tools | |
| Wang et al. | A safety simulation analysis algorithm for Altarica language | |
| Wolforth et al. | A language for failure patterns and application in safety analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Yuan Cangzhou Inventor after: He Hangyu Inventor after: Qi Zheng Inventor after: Zhan Panpan Inventor before: Yuan Cangzhou Inventor before: He Hangyu |
|
| CB03 | Change of inventor or designer information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200612 |
|
| RJ01 | Rejection of invention patent application after publication |